RansomBoggs: nieuwe ransomware gericht op Oekraïne

Gepubliceerd op 30 november 2022 om 22:00

First click here and then choose your language with the Google translate bar at the top of this page ↑

Meerdere organisaties in Oekraïne zijn het doelwit van een geheel nieuw gecreëerd stuk ransomware. Ontdekkers bij securityleverancier ESET hebben het RansomBoggs genoemd en gelijk gemeld bij het Computer Emergency Response Team van Oekraïne (CERT-UA). De manier waarop dit verse aanvalsmiddel wordt ingezet, heeft veel kenmerken van een bekende cybercrimegroep die nauw verbonden zou zijn met de Russische overheid.

Kremlin gelieerde aanvallers

Het gaat om de zogeheten Sandworm-groep die naar verluidt onderdeel is van de Russische militaire inlichtingendienst GROe (GRU in het Engels). Dezelfde groep cyberaanvallers (ook wel bekend als Unit 74455) zou ook achter eerdere gerichte aanvallen op Oekraïne zitten, waaronder de 2015-hack van het elektriciteitsnetwerk en de 2017-aanvallen met de beruchte NotPetya-malware. Bij laatstgenoemde hack zijn toen diverse overheidsorganisaties en bedrijven in het Russische buurland gecompromitteerd, maar ook organisaties wereldwijd. NotPetya wist zich namelijk snel en volautomatisch te verspreiden, mede dankzij gebruik van een uitgelekte exploittool die de Amerikaanse inlichtingendienst NSA had gemaakt.

Oekraïense energie-infrastructuur

NotPetya was door het gebruik van die NSA-tool veel gevaarlijker dan de oorspronkelijke Petya-ransomware, die werd verspreid via geïnfecteerde e-mails. De nu opgedoken gijzelingssoftware RansomBoggs is geheel nieuw, geschreven in .NET. De distributie van deze digitale dreiging gebeurt met middelen en methodes die bijna identiek zijn aan de Industroyer 2 aanvallen op Oekraïense energie-infrastructuur van april dit jaar, merkt securityleverancier ESET op.

In de afpersingsmelding geven de aanvallers aan dat ze 128-bit encryptie (AES) toepassen op de bestanden van slachtoffers, maar uit onderzoek van ESET blijkt dat het om 256-bit encryptie (AES in CBC-modus) gaat. De eerste aanvallen met deze geheel nieuwe ransomware zijn op 21 november al uitgevoerd.

Doelwitten tegenstanders van het Russische regime

Sandworm is een nogal actieve aanvalsgroep die als doelwitten tegenstanders van het Russische regime heeft. Zo zit deze groep volgens Microsoft ook achter recente ransomware-aanvallen op transportbedrijven in Oekraïne en Polen. (Microsoft hanteert de eigen naam Iridium voor de Sandworm-groep.) Organisaties die steun verlenen aan Oekraïne in het verzet tegen Rusland zouden dus ook risico lopen om cyberaanvallen op zich af te krijgen.

Bron: crn.com, welivesecurity.com, agconnect.nl